vlan.org

Webzine des anciens étudiants de l’IUT Serecom St-Raphaël

Accueil > Actu > Un nouveau correctif de Microsoft comble les failles d’un (...)

Un nouveau correctif de Microsoft comble les failles d’un précédent

mardi 7 octobre 2003

Encore un correctif de sécurité à appliquer à Internet Explorer, non pas pour combler de nouvelles failles mais pour renforcer une précédente rustine. Forcé de constater l’échec de sa politique de patch, Microsoft envisage une nouvelle stratégie sécuritaire.

Microsoft vient de mettre en ligne un nouveau correctif de sécurité (n° 828750), non pas pour corriger une nouvelle faille mais pour combler les lacunes d’une précédente rustine, la MS03-032. Celle-ci devait notamment empêcher l’exploitation d’une faille d’Internet Explorer (5.01, 5.5 et 6.0) liée à l’instruction "Object Data" et d’autres fonctions DHTML, notamment associées au lecteur Windows Media Player. Ces failles permettent à un attaquant d’exécuter du code sur une machine distante, à partir d’une simple page HTML. Le cheval de Troie Qhosts exploite notamment cette faille pour modifier les paramètres des serveurs de noms de domaines Windows, ce qui lui permet de rediriger les requêtes sur la même machine afin de préparer, éventuellement, une attaque incapacitante. Le patch MS03-032 fut donc le bienvenu. Mais il s’est avéré que le correctif ne remplissait que partiellement sa mission. Microsoft vient donc (enfin) de combler entièrement - on l’espère - la faille avec ce nouveau correctif.

Une autre vision de la sécurité

Il serait bon pour l’éditeur de Windows que ce correctif fonctionne parfaitement car il pourrait, à l’avenir, cumuler les procès à son encontre sur le sujet de la sécurité. L’éditeur de Redmond a notamment confirmé avoir reçu une plainte en justice l’accusant de rendre les ordinateurs sous Windows vulnérables aux virus. Conscient que sa gestion des failles système à coup de correctifs, souvent mal appliqués, n’offre pas la solution idéale aux attaques virales, Microsoft a donc décidé de chercher une autre voie pour protéger les ordinateurs de ses clients. L’éditeur devrait donc prochainement annoncer une nouvelle stratégie sécuritaire dite "Shield technology" (technologie bouclier). Celle-ci viserait à sécuriser l’ordinateur dans son ensemble et non plus les applications propres à Microsoft.

Espérons que cette nouvelle politique ne se limite pas aux effets d’annonce. Il y a plus d’un an, Bill Gates lançait "l’informatique digne de confiance" (Trustworthy Computing) et invitait les employés de Microsoft à privilégier la sécurité dans le développement des produits maison. Force est de constater qu’aujourd’hui, soit l’architecte en chef de Microsoft n’est pas écouté de ses employés, soit il s’agissait d’un discours marketing bien mené pour restaurer la confiance des clients.

Christophe Lagane


Le bulletin MS03-040 de Microsoft (en anglais)


Voir en ligne : Article de VNUNet.fr - 06/10/2003

Messages

  • Non ??? ben dit donc... C’était quoi déjà WinXp ?

    Je savais qu’un précédent patch rendait inouvrables certains fichiers donc ceux de 3DS Max, Auto Cad and Co... et qu’un patch permettait de corriger le précendant.

    Que le support de M$ avait refilé un vieux virus via des patchs à certains utilisateurs du support Gold...

    Mais là Microsoft innove encore, putain la pointe quand même.

    Après le patch qui te fout la merde dans les agence d’architectes, le patch qui te vérole la gueule, voici le patch toubib, celui qui soigne les autres patchs...
    le patch récursif.

    Et dire que début 2004 la communauté du Web design va devoir se fader la réecriture de toutes les pages/sites utilisant le tag embed ou Object (Affait Eolas)...

    Mais franchement, on va où là ?

    Voir en ligne : Mais heureusement (et comme il y a deux ans.))

Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.